Сloudflare: OpenID появится в SSH

В Сloudflare анонсировали внедрение технологии единого входа OpenID Connect в SSH с помощью протокола OPKSSH (OpenPubkey SSH). Это избавит клиентов от необходимости вручную управлять ключами и настраивать их.

Базовый протокол OpenPubkey стал проектом Linux Foundation с открытым исходным кодом в 2023 году, а OPKSSH ранее развивала BastionZero, а теперь этим занимается Cloudflare. Компания также передала код проекту OpenPubkey, сделав его открытым.

OpenID Connect (OIDC) — основной протокол, используемый для SSO. Как показано ниже, в OIDC IdP, называемый OpenID Provider (OP), выдает пользователю ID-токен, который содержит идентификационные данные, например, «email is [email protected]». Эти утверждения подписываются цифровой подписью OP, поэтому любой, кто получает ID-токен, может проверить, что он действительно был выдан OP.

Хотя ID-токены включают идентификационные данные, такие как имя, название организации и адрес электронной почты, они не включают открытый ключ пользователя. Это не позволяет использовать их для прямой защиты протоколов, таких как SSH или сквозное шифрование сообщений.

OpenID Connect работает с Google, Azure, Okta и т. д. OpenPubkey добавляет открытые ключи к ID-токенам. Это позволяет использовать их как сертификаты, а такие токены, содержащие открытый ключ, называют PK-токенами. Плюс OpenPubkey в том, что, в отличие от других подходов, он не требует никаких изменений в существующих протоколах SSO и поддерживает любой OP, совместимый с OpenID Connect. OpenPubkey позволяет использовать ID-токены в качестве сертификатов, OPKSSH расширяет эту функциональность, так что эти ID-токены можно использовать в качестве ключей SSH в протоколе SSH. Это добавляет аутентификацию SSO к SSH без необходимости внесения